3 neue fehler im IE

[Vincinzerei]

Die Sicherheitsfirma Secunia hat drei neue Sicherheitskücken im Internet Explorer gefunden. Durch die Kombination der ersten zwei Fehler, die von Secunia als "Moderately critical" eingestuft werden, könnet User dazu verführt werden, eine als HTML-Datei getarnte ausführbare Datei herunterzuladen. Zusätzlich fehlt auch der seit SP2 bei Windows XP normalerweise gezeigte Warnhinweis bei Downloads.


Ein Beispiel für das Problem ist hier zu finden.
http://insecure.hopto.org:53/#

Abhilfe für das Problem schafft das Deaktivieren von Active Scripting.

Das dritte Problem, das als nicht kritisch gilt, führt dazu, dass Web-Sessions "entführen" werden könnten, mit der Angreifer Verbindung zu einem Zielserver ohne Authentifizierung aufnehmen könnten.

[Vincinzerei]

In einem Advisory warnt das SANS Internet Storm Center (ISC) vor dem Einsatz des Internet Explorers wegen einer damit verbundenen akuten Gefährdung der Windows-Rechnersicherheit. So seien auf mehreren großen Webseiten Trojaner platziert worden, die allein beim Ansurfen mit dem IE bereits einen Schädling auf dem eigenen Rechner platzieren können.


Ausgenutzt wird dabei die vor einigen Wochen aufgetauchte Sicherheitslücke in der IFRAME-Behandlung des IEs, die vollen Systemzugriff ermöglicht, von Microsoft bisher aber noch nicht gepatcht wurde. Der Exploit wurde in diesem Fall auf mehreren Ad-Servern platziert, über die er dann auf den großen Webseiten gelandet ist. Wie sich die AngreiferInnen Zugriff auf die Server verschafft haben, ist momentan noch unklar.


Ausgenommen von der Gefährdung sind nur BenutzerInnen von Windows XP, die bereits das Service Pack 2 aufgespielt haben, da hier die IFRAME-Lücke nicht ausnutzbar ist. Allerdings sind gleichzeitig auch zwei neue Exploits für vor wenigen Tagen bekannt gewordene andere kritische IE-Sicherheitslücken aufgetaucht, die auch mit SP2 ausgenutzt werden können, und wohl auch schon bald werden. Insofern rät das ISC von der Verwendung des Internet Explorers ab und verweist auf alternative Webbrowser. Laut einer Statistik von Secunia hat der IE 6 momentan 18 ungepatchte Sicherheitslücken aufzuweisen.

<--- ausm Standard..

[rincewind]

Laut einer Statistik von Secunia hat der IE 6 momentan 18 ungepatchte Sicherheitslücken aufzuweisen.

Was haben der IE 6 und ein Golfplatz gemeinsam?

[Cheshirebeagle]

Laut einer Statistik von Secunia hat der IE 6 momentan 18 ungepatchte Sicherheitslücken aufzuweisen.

Hoi!

Das sollte besser heissen mindestens 18, oder 18 bekannte oder sowas in der Art.
Microsoft, eigentlich eine einzige Sicherheitslücke.

Vielen Dank für die Info Vinc.

Ciao Ches, der ab und an auch mit dem IE surft, aber nicht hauen deswegen.

[Arby]

Sagen wir mal so... dank Vince ist meine Schmerzgrenze bezüglich des Internet Explorers dermaßen nach unten gerauscht, dass ich vor ein paar Tagen die Veröffentlichung des Firefox 1.0 Release zum Anlass genommen habe, den IE wieder in die Wüste zu schicken (nachdem ich mich mit diesem mit Bauchschmerzen anfreunden musste, als mein favorisierter Netscape 4.7 nicht mehr weiterentwickelt wurde und in einer unbrauchbaren und aufgeblähten Version 6 mündete).

Darum auch von mir: Weiter so, Vince. Schließlich handelt man auch anderen (z.B. dieser Community) gegenüber grob fahrlässig, wenn z.B. ein derart über den IE eingeschleuster Trojaner durch Zugriff auf persönliche Adressbücher E-Mail-Adressen sammelt, mit denen Absender von SPAM-Mails gefälscht werden...